Riassunto esame Informatica, Prof. Tura Francesco, libro consigliato La transizione digitale nei servizi per cittadini e imprese, Francesco Tura

SPID.

Le caratteristiche tecniche e le modalità/tempi di adozione sono, invece, stati stabiliti dal dpcm del 24 ottobre 2014.

Lo SPID permette a cittadini e imprese di utilizzare un’unica identità digitale per accedere a tutti i servizi online offerti

dalle pubbliche amministrazioni e dagli enti privati che hanno aderito al sistema.

Inoltre, tale eID è fondato sul principio di separazione tra identity provider e service provider.

Il primo è costituito da quei soggetti pubblici/privati quali vengono selezioni e autorizzati dall’AgID, mentre i secondi sono

tutti i soggetti della pubblica amministrazione, obbligati ad avere lo SPID.

Per i service provider privati, invece, è prevista, in forza dell’art.15 del precedente dpcm, l’adozione volontaria, anche se

l’adozione dello SPID esonera le imprese dall’obbligo generale di sorveglianza delle attività sui loro siti (art.17

d.lgs.70/2003), anche se ciò si presenza a elevati costi, motivo per cui sono poche le aziende private che si sono dotate di

tale sistema.

Il cittadino privato, invece, non è obbligato a richiedere lo SPID in quanto, se dotato di CIE o CNS, può comunque

accedere ai servizi online offerti dalle pubbliche amministrazioni, anche se queste due non rispettano il principio di

separazione tra identity e service provider.

D’altro canto, il cittadino può anche munirsi di più SPID.

Per quanto, invece, riguarda le modalità di riconoscimento del soggetto e di conseguente rilascio delle credenziali, la

decisione in merito è lasciata ai vari identity provider.

Ogni cittadino può, inoltre, scegliere il proprio identity provider e, i vari service provider, non possono discriminare

l’accesso ai servizi in base al gestore che ha fornito l’identità al cittadino.

Infine, i service provider hanno diritto di assicurarsi che le credenziali di accesso abbiano un giusto livello di sicurezza,

motivo per cui sono stabiliti 3 livelli di sicurezza di identità SPID, quali corrispondono a tre diverse categorie di credenziali

rilasciate dagli identity provider.

Lo SPID non viene rilasciato dallo stato italiano ma, bensì, da soggetti pubblici o privati che fungono da identity provider.

Il motivo di ciò risiede principalmente nella sicurezza, in quanto non sarebbe stato conveniente porre un unico ufficio che

gestisse tutte le identità digitali di tutti i cittadini italiani, poiché risulterebbe un bersaglio troppo appetibile per i ladri di

identità. 11

Valentina Casta Dal 19/02/2024 Al 03/04/2024

Ciò viene, quindi, ovviato suddividendo l’erogazione e la gestione su più enti quali devono essere in possesso di

caratteristiche indicate dall’art.10 dpcm 24 ottobre 2014, ossia:

Possesso di capacità tecniche e organizzative;

 Utilizzo di personale dotato di specifiche competenze;

 Possesso della certificazione ISO/IEC 27001;

 Se enti privati, che siano società di capitali;

 Possesso dei requisiti indicati dall’art.26 d.lgs.385/1993.



Inoltre, secondo il comma 2-undecies art.64 CAD, i gestori di identità digitale vengono iscritti in un apposito elenco tenuto

dall’AgID.

I vari identity provider sono tenuti a garantire una gestione sicura delle componenti riservate delle identità digitali dei

componenti, cosa che vale anche per i service provider.

Inoltre, i vari enti devono sottoporsi periodicamente alle ispezioni di un organismo di valutazione accreditato a livello

europeo.

L’utente che vuole richiedere lo SPID deve, in primis, scegliere il gestore di identità digitale che preferisce e, in seguito,

deve sottoporsi alla procedura di registrazione secondo una delle modalità proposte dal gestore, quali possono essere:

1. Modalità de visu in senso stretto;

2. Modalità de visu tramite esibizione da remoto di un documento d’identità cartaceo;

3. Modalità telematica con inserimento da parte del cittadino della CIE o della CNS;

4. Modalità telematica con identificazione del cittadino tramite uno SPID rilasciato da un altro gestore;

5. Modalità telematica con sottoscrizione di un apposito modulo di adesione allo SPID tramite firma digitale o firma

elettronica qualificata;

6. Modalità telematica utilizzando le credenziali rilasciate da sistemi che adottano regole di identificazione

caratterizzate dai livelli minimi di sicurezza previsti da dpcm 24 ottobre 2014.

Nella successiva fase d’identificazione, poi, l’utente deve fornire gli attributi qualificativi e quelli secondari, quali vengono

controllati e, se va tutto bene, viene rilasciata l’identità digitale.

Ci sono anche, però, dei casi in cui l’identità può essere revocata, come:

1. Mancato utilizzo per un periodo superiore ai 2 anni;

2. Decesso del titolare/estinzione della persona giuridica;

3. Uso illecito;

4. Richiesta dell’utente;

5. Scadenza contrattuale;

6. Su richiesta dell’utente per uso fraudolento della stessa da parte di soggetti terzi.

Per lo SPID sono richiesti tre livelli di sicurezza, ciascuno dei quali permette all’utente di accedere ai servizi online di cui fa

richiesta, come da art.6 comma 5 dpcm 24 ottobre 2014.

Tali livelli sono gli stessi per ogni sistema eID e sono individuati sulla base di criteri internazionali.

Questi tre livelli sono:

1. Denominato LoA2 dell’ISO-IEC SIS 29115, quale è usato per le operazioni a rischio moderato.

Questo si compone solamente di una password statica, quale deve avere:

- Almeno 8 caratteri;

- La presenza sia di caratteri minuscoli che maiuscoli;

- Almeno un carattere numerico;

- Non più di 2 caratteri identici di seguito;

- Un carattere speciale. 12

Valentina Casta Dal 19/02/2024 Al 03/04/2024

2. Denominato LoA3 dell’ISO-IEC SIS 29115, usato per le operazioni a rischio ragguardevole.

Questa consiste in un’autenticazione a doppio fattore, composta da una password statica e da una OTP, quale ha

una durata limitata e, alla fine di essa, perde validità;

3. Denominato LoA4 dell’ISO-IEC SIS 29115, usato per le operazioni a rischio molto alto.

Tale livello è uguale al secondo, con la differenza che la password statica viene abbinata a una firma digitale.

Nel momento in cui un utente si collega al portale di un service provider, il provider in questione deve individuale

l’identity provider in grado di autenticare l’utente.

Il primo passo è, quindi, richiedere all’utente il gestore della propria identità digitale, facendoglielo scegliere tramite un

menù a tendina.

Dopo che viene effettuata la scelta, l’utente viene indirizzato verso la pagina dell’identity provider, dove gli viene richiesto

di inserire le sue credenziali e, se queste corrispondono, l’identity provider emette ad uso del fornitore dei servizi

un’attestazione di autenticazione.

L’utente viene, quindi, reindirizzato verso la pagina del service provider, dove potrà accedere al servizio.

Per certe operazioni, però, l’utente necessita di avere determinati attributi qualificativi che attestino che ha il diritto di

accedere a quelle operazioni, per cui dovrà rivolgersi a un attribute provider per provare che questi sono presenti.

Fino ad aprile 2022 tutti questi scambi avvenivano tramite asserzioni SAML, mentre col AgID 616/2021, “Linee guida per

OpenID Connect in SPID”, dal primo maggio 2022 i gestori di identità digitali dello SPID sono tenuti a impiegare lo

standard OpenID Connect.

Nella fase di verifica del diritto a usufruire di un particolare servizio possono essere interpellati uno o più attribute

provider, quali sono:

Il ministero dello sviluppo economico, sulla base dei dati contenuti nell’indice nazionale dei domicili digitali,

 delle imprese e dei professionisti;

Gli albi professionali;

 Le camere di commercio, industria, artigianato e agricoltura;

 L’AgID, in relazione ai dati contenuti nell’indice degli indirizzi della pubblica amministrazione.



Nel caso delle imprese e dei liberi professionisti, però, gli attributi qualificativi normalmente riportati risultano

insufficienti, motivo per cui, con l’AgID 6 novembre 2019, è stato introdotto eIDup, uno SPID a uso professionale.

Questo può essere di due tipi:

1. eIDup per le persone fisiche, ossia lo SPID riservato ai liberi professionisti;

2. eIDup per le persone giuridiche, quale contiene le informazioni sulla persona giuridica per conto della quale il

titolare opera.

Per il suo rilascio è previsto un sistema di doppio controllo che presuppone che la richiesta provenga allo stesso momento

dall’utente che ne farà uso e dall’organizzazione di cui questi fa parte.

Oltre a ciò, il rilascio di questo SPID può essere a pagamento ed è utilizzabile solo in ambito professionale.

Attualmente gli identity provider in Italia sono:

1. InfoCert SPA;

2. Poste Italiane SPA;

3. TIM SRL;

4. SIELTE SPA;

5. Aruba PEC SPA;

6. In.Te.S.A. SPA;

7. Namirial SPA;

8. REGISTER.IT SPA;

9. Lepida SPA;

10. TeamSystem SPA. 13

Valentina Casta Dal 19/02/2024 Al 03/04/2024

Le identità rilasciate sono quali 33 milioni mente gli enti della pubblica amministrazione che hanno adottato questo

sistema sono circa 12 mila.

Per quanto, invece, riguarda le imprese private, queste inizialmente decisero di non aderire, dovendo versare un

contributo non specificato ai vari identity provider.

Con l’AgID 366/2017 del 18 dicembre 2017 è stato specificato come si dovesse pagare una tariffa annua di 500.000 euro

fino a 1.500 utenti e poi 0,20 centesimi per ogni utente oltre questo numero.

Essendo, però, un sistema molto oneroso molti soggetti privati decisero comunque di non aderire.

I numeri cambiarono con l’AgID 116/2019, col quale è stato introdotto un sistema basato sui numeri di accesso annuali,

per cui molti service provider privati decisero di aderire (147).

Tra i service provider, però, alcuni sono anche identity provider, in particolare InfoCert SPA e Namirial SPA.

Per quanto riguarda, invece, la Carta d’Identità Elettronica, questa viene rilasciata dal ministero dell’interno, quale si avvale

del processo di identificazione esercitato dagli ufficiali di anagrafe presso i comuni che rilasciano tale carta.

L’autenticazione, invece, avviene tramite i certificati di autorizzazione contenuti nel microchip della carta, riconosciuti da

tutti i service provider della pubblica amministrazione, quali, quindi, non necessitano di convenzioni col ministero e, per

lo stesso motivo, i dipendenti di tali pubbliche amministrazioni verificano il documento di identità cartacea per erogare

servizi per mezzo di uno sportello tradizionale.

La CIE, infatti, funge sia da strumento per l’identificazione de visu, sia per l’identifi